不正なPythonパッケージをPyPIに44個発見、利用の有無の確認を

Check Point Software Technologiesは6月16日(米国時間)、「PyPI Suspends New Registrations After Malicious Python Script Attack」において、PyPI (Python Package Index)リポジトリに悪意のあるパッケージが複数あることを伝えた。「DreamyOakXTimmywag」と呼ばれる作成者により、44もの不正なパッケージがリポジトリに追加されていたことが明らかになった。

PyPI Suspends New Registrations After Malicious Python Script Attack

特定された44の不正なPyPIパッケージは次のとおり。

sys-scikit-learn 17.8.18

sqlalchemy-requests 7.1.1

sqlalchemy-os 14.0.10

sqlalchemy-install 10.9.4

selenium-matplotlib 17.9.4

scikit-learn-matplotlib 6.12.17

requests-pandas 3.10.17

requests-flask 16.9.16

req-os 20.5.17

req-matplotlib 11.2.18

req-flask 2.9.4

pyyaml-selenium 1.15.3

pytorch-pandas 14.19.3

pytest-pandas 16.6.6

pytorch-pygame 0.6.19

crypto-pygame 10.14.7

pylint-sys 8.15.6

pylint-py 15.0.3

pylint-beautifulsoup 17.10.12

pylint-beautifulsoup 3.12.3

pygame-pytorch 3.4.19

pygame-Print 15.0.6

pygame-install 17.14.20

Print-requests 13.18.4

Print-pip 13.9.3

Print-django 3.9.10

matplotlib-sqlalchemy 16.18.4

pandas-numpy 8.19.3

os-numpy 3.19.4

opencv-keras 17.10.13

numpy-selenium 5.20.19

matplotlib-requests 16.12.4

matplotlib-req 17.6.16

matplotlib-flask 7.15.10

keras-beautifulsoup 2.9.2

keras-arg 19.14.9

install-pyyaml 1.19.12

install-pytest 1.12.7

install-crypto 4.18.5

django-pyyaml 20.17.15

beautifulsoup-scikit-learn 2.4.9

beautifulsoup-requests 12.15.13

beautifulsoup-numpy 10.13.10

これらパッケージのPythonスクリプト内にユーザーのシステムを侵害する悪意のあるペイロードが仕込まれ、リモートサーバから任意の実行ファイル(マルウェア)をダウンロードして実行させていたことが確認されている。

PyPIリポジトリに悪意のあるパッケージを配置する脅威が続いている。Pythonプロジェクトやシステムを危険にさらすサプライチェーン攻撃は後を絶たず、侵害に成功する可能性の高い攻撃手法と考えられている。開発者はサードパーティ製ソフトウェアを使用する場合、リスクが存在していることを認識し、利用するパッケージ情報を入念にチェックすることが望まれる。